安全动态

中国企业泄露5.9亿份简历信息 用户:咋被坑的都不知道?

来源:聚铭网络    发布时间:2019-04-10    浏览次数:
 

信息来源:cnBeta

北京时间4月5日下午,美国科技媒体ZDNet将几个月前便收到的一些有关服务器泄露提示的消息公之于众。报道称,中国企业今年前3个月出现数起简历信息泄露事故,涉及5.9亿份简历。消息一经曝出,引起国人高度关注。

只有中国公司遭殃

报道称,大多数简历泄露都是由于MongoDB数据库和ElasticSearch服务器的安全性很差所导致。据悉,这些服务器在没有密码的情况下被暴露在网上,亦或在防火墙出现意外错误后最终在线。

值得一提的是,此次泄露事件只涉及中国公司。在ZDNet整理几个月、尤其是最近几周里收到的一些关于泄露的提示时发现,这些服务器在接受调查时全部属于专注于人力资源的中国企业。

泄露事件从极个别的猎头公司开始,首先是泄露少量简历的小公司,他们以这样或者那样的形式泄露了用户的信息,而这样的行为在起初很难被用户察觉。当然,随着日积月累这种行为最终会被发现。

安全研究员、GDI基金会的成员Sanyam Jain在发给ZDNet的提示中这样写道:“我在3月10日发现了一个存储有3300万中国用户简历的ElasticSearch服务器。之后,我向中国国家计算机应急响应小组(CNCERT)报告了该问题。四天后,该数据库得到了保护。”

简历泄露事件频发

事情并没有结束,距离上一次发现仅仅过去了三天时间。3月13日,安全研究员Devin Stokes再发现另一个ElasticSearch服务器存在泄露情况。

Stokes称,这个ElasticSearch服务器里面包含了8480万份简历,这其中包含了简历拥有者的目前薪资、工作经历、教育程度、技能、接受过的培训以及之前工作经验等详细信息。同样的,Stokes第一时间将事情告知了CNCERT,并在CNCERT的帮助下关闭了该服务器。

之后,Jain连续发现简历泄露的情况出现:

·第三次,Jain在3月15日发现另一个ElasticSearch实例,这次他持有3300万份简历,这是他在3月15日发现的。“数据库意外脱机,在向CNCERT报告后我没有收到任何的回复,”Jain告诉ZDNet。

·第四次,服务器存储了一家中国公司的900万份简历,而他在另一个ElasticSearch服务器中找到了这些简历。

·第五次,这次是一个拥有1.29亿份简历的ElasticSearch服务器集群。在ZDNet发文时,这个数据库仍然暴露在网上,因为Jain无法确定它的所有者。

·最后的两次同样是两台ElasticSearch服务器,它们分别存储了18万份简历和1.7万份简历。

此外,4月5日安全研究人员Diachenko发现了一个类似的服务器,其中包含了2050万中国用户的简历,其中包含庞大的详细信息。该研究人员目前正在确认并通知泄露这些数据的公司。Diachenko的另一个发现是在1月份,他发现一个MongoDB数据库泄露了超过2.02亿中国用户的简历。

......

据统计,仅在过去的一个月里,安全研究人员就发现并报告了7例这样的泄露事件,而在ZDNet发表文章之前,只有4例被删除。因此,Diachenko认为这些数据可能早已落入了坏人手中。

比简历泄露更可怕

在搜集素材的时候,本宅看到不少网友在评论区这样写道:“唉,泄露就泄露吧,我已经皮了。”显然,他们想错了。

伴随着简历泄露事件的发生,简历所有者的更多个人信息也被相继泄露。该服务器还包含每个用户的完整个人资料,包括当前的工作、招聘人员和高管之间最近的对话、培训课程等等。

另外,泄露的服务器还包含了一些公司的名单,这些公司已经注册了猎头公司的服务,并在其帮助下聘用了高管。粗略地搜索一下这份名单,就会发现其中既有卡夫亨氏(Kraft Heinz)和斯通科尔(StonCor)等外国公司,也有许多像中国航空动力控制公司(China Aviation Power Control)和无锡安泰科技(Wuxi AMT Technology)这样的中国本土公司。

报道中提到,3月10日(文中第一次提到的泄露事件)被Jain发现泄露简历的三家中国公司都建立了各自的实时数据库,而这些公司都往往是规模庞大且地位稳固的企业。那么,此次泄露事件又是怎么发生的呢?

可惜的是,安全研究人员还尚未查明泄露事件的成因。

超过5.9亿份简历被泄露

在过去的三个月里,中国公司总共泄露了 5.9 亿份简历。不得不说,这个数字足矣让任何一位了解隐私保护重要性的用户觉得头皮发麻。

当然,也正如上面所说,也许也有不少人并不认为公开简历有什么大不了的。但是,当用户发觉不法分子在获取到简历之后还可以通过其他手段得到更多自己的私密信息时,危机其实早已伴其左右。

一般情况下,为了保证用户的个人简历信息安全,其往往会被人力资源公司要求定期删除完整版简历中包含的个人身份信息,如电话号码、家庭住址、家庭和婚姻状况,有时还会删除身份证号码。同样的,当用户在求职门户网站上填写个人信息时,他们认为一些数据只允许提供给雇主,而不是整个互联网。

那么,中国人力资源公司和中国招聘门户网站在用户隐私保护方面做得怎样呢?至少我们从这已经泄露的  5.9 亿份简历来看,只能摇头兴叹了。

 
 

上一篇:2019年全国电子信息行业工作座谈会召开

下一篇:2019年04月10日 聚铭安全速递